Gibt es verschlüsselte Festplatten die die Forensik nicht auslesen kann?

6 Antworten

ich habe in einem KOmmentar gelesen es wäre möglich eine Festplatte mittels Elektronen-Raster_Mikroskop auszulesen und so deren Verschlüsselung zu umgehen.

Das ist völliger Quatsch. Das Auslesen von Festplatten mit so einem Mikroskop ist theoretisch machbar. Praktisch mach dies keiner da so ein Ding ca. 1 Million Euro kostet und das Auslesen Monate dauern würde. Dann musst du die Daten aber auch erst Mal wieder zusammensetzen und bereinigen da Sektoren nicht nur die Daten sondern auch Marker und ECC information enthalten.

Abgesehen davon speichern HDDs Daten in Zylindern. Sprich du musst die einzelnen Spuren der einzelnen Magenetscheiben trennen und dann die Daten umarrangieren.

https://clubcomputer.at/wp-content/uploads/sites/6/2021/11/image150.png

Das liegt daran, dass umschalten zwischen den Köpfen schneller ist als ein Spurwechsel!

Den Aufwand betreibt also niemand da wir hier mit der Arbeitszeit von 6-stelligen Kosten pro HDD sprechen...

Es gab Mal einen Prototypen so einer Maschine. Da man aber defekte Köpfe einfacher und billiger tauschen kann, wäre das nur eine Option für zerkratzte oder gebrochene Magenetscheiben. Da ist es dann aber fraglich ob man die gesuchten Daten dann auch findet. Daher war das Gerät ein kommerzieller Flop denn kein Labor wollte es kaufen.

Aber selbst wenn, wären die Daten noch verschlüsselt und man müsste die dann auch noch Verschlüsselung knacken.

Gibt es denn eine bombensichere Verschlüsselung die selbst die NSA knacken kann?

Ich nutze Hashcat oder Passware im Labor zum knacken von Passwörtern. Ist das Passwort zu gut, komme ich nicht weiter.

Der Unterschied zu größeren Laboren ist die Verfügbare Rechenkapazität. Bei Passwörtern heißt dies, dass für jede zusätzliche Stelle das Knacken um den Faktor 80-100 schwerer wird.

Will ich also eine Stelle mehr in der gleichen Zeit knacken, müsste ich zu meiner RTX2060 noch 79-99 weitere dazukaufen oder eben entsprechend weniger RTX 4090er, etc.

Ich müsste also meine Rechenkapazität um das 80-100 fache erhöhen...

Zum Thema Hintertüren für Behörden will ich hier nicht herumspekulieren. Allerdings hast du dann auch ganz andere Probleme als "nur" die Verschlüsselung der Platte wenn erst mal die NSA an deine Daten und Geheimnisse will - zB:

  • Abhören von Telefonen
  • Überwachung der Kommunikation über das Internet
  • versteckte Mikrofone und Kameras
  • usw.

Die können auch schnell mal Geräte in deine Tastatur einbauen um deine Eingaben zu überwachen: https://www.keelog.com/forensic-keylogger/

Ähnliche Geräte gibt es für Netzwerke - zB: https://shop.hak5.org/products/packet-squirrel-mark-ii

Hier sind die Einbau-Varianten die man in einem Rechner verhauen könnte nicht frei verkäuflich wie der Squirrel und ich fand auch kein Bild. Der Squirrel zeigt das Prinzip schon sehr gut und ich hatte solche Geräte schon bei Pentests im Einsatz. Selbst in Firmen wurde das Ding über die ganzen 2 Wochen für den Pentest hinweg nicht entdeckt...

Was bei sowas auch super funktioniert, ist das Keylog Kabel! Hatte das schon einigen Mitarbeitern untergeschoben und dann abendlich die Eingaben per WLAN abgeholt...

Woher ich das weiß:Berufserfahrung – Datenretter & IT-Forensiker (seit 2018)

ja gibt es, hab aber den Namen vergessen von dem Programm und ist auch schon älter aber deshalb nicht schlechter. Es würde viele Jahre dauern es zu entschlüsseln mit immenser Rechenkapazität

Wenn die Daten verschlüsselt auf der Festplatte gespeichert sind, kann man damit ohne Schlüssel sowieso nichts anfangen, egal ob man sie auslesen kann.
Als sicherer Verschlüsselungsstandard gilt AES-256, dafür bräuchte man Jahrhunderte, um den Schlüssel zu knacken. Kann aber unsicher werden, wenn Quantencomputer funktionieren.

Hoffe, das hat geholfen ;)

Woher ich das weiß:Studium / Ausbildung

Waldmorti 
Beitragsersteller
 25.10.2023, 03:14

kann ich das für meine Linuxsystemplatte nehmen? bringt das einen Mehrwert an sicherheit gegenüber hackern? Ich nutze asl zusätzlichen Schutz für mein Linux(Ubuntu) einen Yubikey.

Waldmorti 
Beitragsersteller
 25.10.2023, 07:35
@Mark Berger

Ja aber mit einem YubiKey brauchst du beides. Selbst wenn dein Passwort geknackt ist brauchst du noch den physischen Schlüssel. Ist auch entspannter weil du für Sudo Befehle nur den YubiKey berühren musst.

Mark Berger  25.10.2023, 07:38
@Waldmorti

Stimmt. Aber hast du auch MFA bei der Verschlüsselung? Worauf ich hinaus wollte ist, dass die sicherste verschüsselung nichts hilft, wenn du am Ende Maxi123! als Passwort nutzt.

Auf einer FP, egal ob SSD oder HDD, sind die Daten sowieso nur in Form von 0 und 1 vorhanden, und nicht in, für Menschen, lesbarer Form.


Mark Berger  25.10.2023, 07:27

Quatsch - du brauchst nur etwas Übung. Ich sehe mir als Forensiker vielen in Hex-Editoren an. Diese errechnen nur aus 8 Nullen bzw. Einsen eine 2-stellige alphanumerische Darstellung zur kompakteren Anzeige:

https://mh-nexus.de/en/graphics/HxDShotLarge.png

Die Dokumentation des entsprechenden Dateiformats oder Dateisystems daneben hinlegen und schon kannst du alles von Hand decodieren. Macht ja ein Programm auch so nur eben viel schneller.

Willst du zB prüfen ob ein Programm auch richtig arbeitet, muss du dann von Hand nachkontrollieren ob es stimmt.